Selon certains experts en sécurité informatique, il existe deux types d'organisation : celles qui savent que leur sécurité a été compromise, et celles qui l'ignorent. Malgré les investissements des entreprises pour protéger leur réseau, aucune ne peut se prémunir à 100 pour cent contre les pirates informatiques.
Le problème est que de nombreuses entreprises ne savent pas que leurs réseaux ont déjà été compromis. En fait, une étude menée par Ponemon l'année dernière suggérait que le temps moyen d’une organisation pour détecter une violation était de 206 jours. Selon une autre étude, les entreprises mettant moins de 100 jours à repérer une violation finissent par perdre 5,99 millions de dollars, et pour les violations qui ont été plus longues à détecter, le coût moyen s'élève à 8,70 millions de dollars.
C'est pourquoi la sécurité de votre gestion de réseau ne se limite pas au seul périmètre. Ceux qui parviennent à franchir la porte d'entrée auront toute latitude pour aller où ils veulent dans votre entreprise. Par conséquent, vous devez surveiller de près ce qui se passe sur votre réseau et identifier les signes révélateurs d'un intrus.
Avec autant de données circulant actuellement sur les réseaux d'entreprise, repérer tout ce qui est inhabituel peut s'avérer une tâche délicate, mais il existe quelques indicateurs clés que vous devez rechercher.
Connexion plus lente que prévu
Les connexions qui ne vous donnent pas la vitesse ou la bande passante dont vous avez besoin sont le signe clé que quelqu'un d'autre déplace des données sur votre réseau. De même, les systèmes qui n'offrent pas le niveau de performance attendu sont un indicateur d'activité non autorisée.
Quand des pirates informatiques font une intrusion sur votre réseau, ils déploient souvent un grand nombre de processus et d'activités en arrière-plan. Ils peuvent simplement surveiller vos systèmes et renvoyer des rapports, ou utiliser activement vos systèmes pour des opérations telles que l'envoi de spams ou le déclenchement d'attaques DDoS (attaque par déni de service). Si vous constatez des baisses de vitesse inexpliquées, cela peut être le signe que vos ressources sont utilisées par des pirates informatiques.
Connexions ou modèles de trafic inhabituels
Un moyen efficace d'établir si vous avez un intrus est de regarder vos modèles de trafic de données pour toute activité inhabituelle.
Par exemple, l'un des signes révélateurs les plus courants peut être un volume de trafic sortant plus important que prévu de votre réseau. En plus de copier activement les données clés, les systèmes compromis communiquent régulièrement avec leurs serveurs de commande. C'est donc en identifiant un trafic sortant inexpliqué dans le cadre d'une activité commerciale régulière que vous pourrez détecter et fermer toute atteinte à la sécurité avant même que des dommages ne soient faits.
D'autres signes potentiellement suspects comprennent des tentatives récurrentes d'accès aux mêmes fichiers, serveurs ou autorisations dans les applications. Cela peut être le signe d'une attaque par force brute, où les pirates de votre réseau utilisent des tentatives et des erreurs pour tenter d'accéder aux systèmes clés en utilisant divers détails de compte.
L’activité inhabituelle d’un utilisateur
Un élément clé de toute solution de surveillance de sécurité efficace consiste à conserver des journaux d'audit complets détaillant les utilisateurs de fichiers, les heures et les localisations d’accès. Examiner ces rapports, idéalement en temps réel, peut s'avérer l'un des meilleurs moyens d'identifier toute anomalie.
Par exemple, si les registres révèlent que votre DSI a essayé de se connecter à des bases de données clés à trois heures du matin ? Ou peut-être que les journaux IP indiquent que votre collègue accède à son compte depuis un autre pays, alors que vous savez qu'il se trouve à côté de votre bureau.
Il ne suffit pas d'être au courant du lieu et du moment d’utilisation des comptes. Regardez également ce que les utilisateurs font. Sont-ils en train de consulter des éléments qui ne sont pas pertinents dans le cadre de leur travail ? Ou, apportent-ils un nombre excessif de changements à un système ? Les pics dans les demandes de lecture de fichiers, les accès aux enregistrements d'applications ou les volumes de lecture de bases de données indiquent que quelqu'un tente de collecter des données précieuses.
Fonctionnement inapproprié des applications
Les applications qui ne répondent pas à vos attentes sont une autre alerte que la sécurité de votre système a été compromise. Bien qu'il puisse y avoir de nombreuses raisons à cette activité, telles que des paramètres mal configurés ou des erreurs de l'utilisateur, cela peut également être un signe de violation. L'activité suspecte à surveiller inclut les programmes se lançant au démarrage même si cette option est désactivée, la difficulté à arrêter ou redémarrer un périphérique, les boîtes de dialogue pop-up excessives, ou toute autre activité ne résultant pas d'une commande opérateur.
Surveillez également les signes tels que le clignotement d'une lumière de la webcam pendant une courte période, même si vous n'utilisez pas d'application vidéo, car cela peut souvent indiquer un accès non autorisé à un appareil.
La recherche manuelle de ces types d'anomalies peut être une tâche impossible, c'est pourquoi il est essentiel de disposer de systèmes de détection d'intrusion fiables pour surveiller les réseaux et améliorer la visibilité de votre environnement. Dépourvu de ces outils, vous ne serez alerté d’une violation que lorsque des clients ou des salariés vous appelleront pour se plaindre.
Accédez aux dernières connaissances commerciales en informatique
Avoir accès
Commentaires
Rejoindre la conversation…